課程英文全稱: Building an Investigation with EnCase Forensic?
課程中文全稱:EnCase電子數(shù)據(jù)取證實(shí)戰(zhàn)及技能提升
課程編號(hào):DF210 ??| ??CPE 分?jǐn)?shù): 32
課程級(jí)別: ?中級(jí) ?|? 學(xué)習(xí)要求: 學(xué)員已完成學(xué)習(xí)DF120培訓(xùn)課程
一、課程簡(jiǎn)介
該課程主要為掌握計(jì)算機(jī)基本技能、電子數(shù)據(jù)取證基礎(chǔ)及EnCase軟件應(yīng)用的調(diào)查人員設(shè)計(jì)。課程是基于DF120課程要求的技能,讓調(diào)查員進(jìn)一步學(xué)習(xí)EnCase的特有功能,提升個(gè)人能力從而實(shí)現(xiàn)提高工作效率。學(xué)員必須掌握證據(jù)處理、證據(jù)文件結(jié)構(gòu)、創(chuàng)建和使用案例、數(shù)據(jù)獲取方法、硬件寫保護(hù)、網(wǎng)絡(luò)交叉線及盤到盤的證據(jù)獲取。此外,學(xué)員還需掌握FAT文件系統(tǒng)的刪除文件及文件夾的恢復(fù)、使用關(guān)鍵詞對(duì)物理介質(zhì)和邏輯介質(zhì)進(jìn)行搜索、創(chuàng)建和使用書簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數(shù)據(jù)。
二、參加對(duì)象
該課程主要面向IT安全專家、法律訴訟支持專家及電子數(shù)據(jù)取證調(diào)查員。參加此課程要求學(xué)員已參加過(guò)DF120課程。
三、課程學(xué)習(xí)內(nèi)容
- 恢復(fù)加密信息(如Windows BitLocker加密磁盤中加密數(shù)據(jù)的提取)
- 查找及恢復(fù)已刪除分區(qū)
- 復(fù)合文件(Compound Files)的處理與分析
- Windows注冊(cè)表工作原理及數(shù)據(jù)分析
- 判斷系統(tǒng)使用的時(shí)區(qū),掌握在案例中正確調(diào)整時(shí)區(qū)的方法
- 創(chuàng)建及使用條件表達(dá)式(Conditions)實(shí)現(xiàn)高效搜索
- EnCase證據(jù)處理器的配置與應(yīng)用
- FAT/exFAT/NTFS文件系統(tǒng)概述
- 關(guān)鍵詞搜索技巧及GREP語(yǔ)法應(yīng)用
- 邏輯證據(jù)文件及單一文件的創(chuàng)建與應(yīng)用
- 識(shí)別Windows操作系統(tǒng)常見系統(tǒng)痕跡(如快捷方式文件、回收站及用戶文件夾等)
- 回收站(Recycle Bin)的數(shù)據(jù)恢復(fù)
- 系統(tǒng)殘留痕跡的恢復(fù)(如swap交換文件、文件殘留區(qū)、打印機(jī)脫機(jī)文件等)
- 電子郵件及附件的搜索方法及技巧
- 上網(wǎng)記錄及電子郵件相關(guān)痕跡的檢驗(yàn)方法
- USB移動(dòng)設(shè)備的數(shù)據(jù)恢復(fù)